Ciberdelincuentes explotan información pública de trabajadores para cometer fraudes
¿Imagina que tres millones y medio de dólares desaparecen sin que nadie vulnere los sistemas de seguridad de una empresa? Esto ocurrió en Children's Healthcare of Atlanta, donde un simple correo electrónico, redactado con datos disponibles públicamente, logró suplantar identidades y desviar pagos corporativos.
El punto débil no está en los servidores
La vulnerabilidad real de las organizaciones no reside en sus discos duros, sino en la información que sus empleados comparten voluntariamente en internet. Cuando un trabajador publica logros profesionales, cargos recién asumidos, proyectos en desarrollo o viajes ejecutivos, busca posicionamiento profesional o mejorar su reputación corporativa. Sin embargo, estos mismos datos se convierten en material estratégico para los ladrones digitales.
La compañía de ciberseguridad ESET alerta sobre el fenómeno del oversharing -compartir en exceso información laboral en entornos digitales-, que amplía significativamente el margen de acción de los ataques delincuenciales. La creciente sofisticación tecnológica agrava este panorama, pues la inteligencia artificial permite automatizar la recopilación de datos públicos y redactar mensajes prácticamente indistinguibles de comunicaciones legítimas.
LinkedIn como mapa organizacional abierto
Plataformas como LinkedIn funcionan como verdaderos mapas organizacionales disponibles para cualquier observador. Los usuarios activos actualizan constantemente sus perfiles, haciendo públicas sus responsabilidades, jerarquías y relaciones internas. Para un atacante, identificar quién trabaja en finanzas, quién administra sistemas, en qué lugar se mueve o cuánto tiempo lleva en un cargo puede marcar la diferencia entre un intento fallido y un fraude exitoso.
La lógica detrás de estos ataques es simple pero efectiva. Primero se recopilan datos disponibles públicamente, luego esa información se utiliza para diseñar una mentira creíble. Como explica Martina López, investigadora de Seguridad Informática de ESET Latinoamérica, el objetivo puede ser inducir a la víctima a instalar malware, compartir credenciales corporativas o autorizar transferencias bancarias fraudulentas mediante esquemas de compromiso de correo empresarial.
Las redes sociales como ventanas de oportunidad
Incluso fuera de las plataformas laborales, las publicaciones en Instagram o X que anuncian viajes o participación en eventos se convierten en ventanas de oportunidad para los ciberdelincuentes. No es coincidencia que logren identificar momentos en que un ejecutivo estará ocupado o fuera de la oficina, cuando le resultará más difícil confirmar instrucciones urgentes.
Los deepfakes -audios o videos manipulados- abren un amplio menú de posibilidades para engañar, permitiendo a los atacantes crear comunicaciones falsas que parecen auténticas.
Medidas de prevención esenciales
Para contrarrestar estas amenazas, se recomienda:
- Reforzar la educación interna en ciberseguridad para que los empleados comprendan qué información puede resultar sensible
- Establecer políticas claras sobre lo que se puede y no se puede compartir, sin vulnerar la libertad de expresión
- Diferenciar claramente entre cuentas personales y perfiles corporativos
- Revisar periódicamente los sitios web institucionales para eliminar datos innecesarios o sospechosos
Muchas organizaciones implementan técnicas como la autenticación multifactorial, el uso de contraseñas complejas y la supervisión de cuentas públicas. Los ejercicios de "equipo rojo", donde se simulan ataques internos, ayudan a medir el nivel de concienciación del personal y su preparación para enfrentar amenazas reales.
Compartir información en exceso puede convertirse en el primer eslabón de una cadena de fraude. Si un dato está disponible en línea, es razonable asumir que también puede estar en manos de ciberdelincuentes. La protección comienza con la conciencia sobre qué información compartimos y cómo podría ser utilizada en nuestra contra.
